Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN mit pfSense - Standortkopplung bzw. site-to-site

Frage Netzwerke LAN, WAN, Wireless

Mitglied: RicoPausB

RicoPausB (Level 1) - Jetzt verbinden

09.12.2013 um 10:06 Uhr, 3462 Aufrufe, 2 Kommentare

moinmoin ...

... analog zu meiner Frage http://www.administrator.de/contentid/208726 ...

Ausgangslage:
Wir haben bei Hetzner mehrere Root-Server, die derzeit (noch) via IPsec-Tunnel verbunden sind.
Der dortige DC ist in einem gerouteten SubNet mit öffnentlicher IP hinter einer pfSense.

Jetzt würde ich gerne unsere Aussenstellen und diverse RoadWarrior via OpenVPN dort anbinden.
Das ganze ist dank aqui's Anleitung ( http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ... ) auch schon im Ansatz erfolgreich ...

Was mir allerdings Kopfzerbrechen bereitet ist die DNS-Auflösung.
Der DC verwendet intern die domain "firma.lan", extern eine öffentlich erreichbare domain mit der TLD intra.net, deren DNS bei Hetzner konfiguriert wird.
Die Aussenstellen verwenden aus gewachsenen Strukturen andere Domains und arbeiten in privaten Subnetzen (192.168.x.x)
Ich will nicht den gesamten Traffic über das VPN erfolgen lassen, sondern nur den "firmenspezifischen" aus "firma.lan".

Der Tunnel wird durch die beiden pfSense zwar aufgebaut, aber eine DNS-Auflösung in das VPN findet nicht statt.

Ein tracert mittels IP zum DC läuft über den Tunnel.
Allerdings wird der DC nicht mit dc-name.firma.lan aufgelöst sondern mit seinem öffentlichen FQDN
Eigentlich auch logisch, da ja der DC eine öffentliche IP besitzt und diese über den Standard-DNS der Aussenstelle ja aufgelöst werden kann.

Ich stehe also vor dem Problem, dass ich DNS Anfragen an ein öffentliches Subnetz durch das VPN routen muss, wenn ich das richtig sehe.

Falls jemand eine Idee hat, wie ich das bewerkstelligen kann, ohne an allen Clients den DNS manuell zu ändern, bin ich für jede Schandtat bereit ;)

Der Rico
Mitglied: aqui
09.12.2013, aktualisiert um 12:01 Uhr
Im Tutorial findest du im Kapitel Domain Integration (DNS) die Lösung für dein "Problem".
Das gilt aber nur wenn du auch im internen lokalen LAN des Servers IPs auflösen willst.
Ansonsten nutzt der VPN Client immer den lokal konfigurierten DNS und niemals den der irgendwo im Tunnel oder dahinter liegt ! Wie auch denn dieser ist, folgt man dem Tutorial, gar nicht konfiguriert.
Da du uns aber deine server.conf Datei nicht gepostet hast können wir leider mal wieder nur unsere berühmte Kristallkugel bemühen….
Welchen DNS du nutzt am VPN Client zeigt dieser dir mit einem ipconfig -all an oder eben nslookup.
Bitte warten ..
Mitglied: RicoPausB
09.12.2013, aktualisiert um 13:42 Uhr
die server.conf hatte ich (Asche über mein Haupt ...) vergessen ...
hier wäre sie:
### BEGIN ###
dev ovpns1
dev-type tun
tun-ipv6
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 144.10.20.253
tls-server
server 10.10.10.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1194
management /var/etc/openvpn/server1.sock unix
max-clients 10
push "route 78.20.30.160 255.255.255.248"
push "dhcp-option DOMAIN firma.lan"
push "dhcp-option DNS 78.20.30.161"
client-to-client
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
crl-verify /var/etc/openvpn/server1.crl-verify
tls-auth /var/etc/openvpn/server1.tls-auth 0
comp-lzo
route 192.168.0.0 255.255.0.0

push route 78.20.30.160 255.255.255.248
### END ###

ansonsten habe ich nur noch die "client-specific-overrides" mit der iroute versorgt und auf dem client unter dns-forwarder den localen DNS (DC) der Aussenstelle eingetragen

#client-specific-overrides (CN aus dem client vert verwendet)
iroute 192.168.0.0 255.255.255.0

#dns-forwarder auf client site
dc.firma.lan 192.168.0.10

achja ... auf beiden Seiten kommt pfSense in der Version 2.1 zum Einsatz, weshalb ich auch bei einigen Screenshots anfangs verwirrt war ...
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst OpenVPN pfsense (5)

Frage von sebastian2608 zum Thema Router & Routing ...

Router & Routing
gelöst Site to Site VPN mit PfSense - Zugriff auf Remote Netze nicht möglich. (6)

Frage von RRESEARCH zum Thema Router & Routing ...

Router & Routing
Site-to-Site VPN hinter Routern - Verbindungsabbrüche (5)

Frage von Vincor zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Exchange Server
Exchange Postfach leeren - nicht löschen (11)

Frage von AndreasOC zum Thema Exchange Server ...